Home » Spyware & Browser Hijacker Support Forum » Spybro auf meinem Rechner gefunden. Was muß ich jetzt genau entfernen? » Themenansicht

Spybro auf meinem Rechner gefunden. Was muß ich jetzt genau entfernen?
#0
06.06.2007, 18:31
Jinglebells
...neu hier

Beiträge: 3
#1 Hallo,

ich habe heute feststellen müssen, dass sich bei mir die Spyware Spybro eingeschlichen hat. Wie sie auf meinen Rechner gekommen ist, kann ich nicht ganz nachvollziehen, hab sie auch nur durch Zufall gefunden, weil ich meine Registry säubern wollte und mir das Prog halt völlig unbekannt ist. Unter den Programmen find ich sie eindeutig nicht. Ich hab jetzt hier schon folgenden Thread http://board.protecus.de/t23444.htm dazu durchgelesen und ein die ersten 4 Schritte dazu durchgeführt. Ich poste daher jetzt erstmal alle Logfiles und hoffe ihr könnt mir bei der Regedit4 helfen.

Logfile of HijackThis v1.99.1
Scan saved at 17:11:30, on 06.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\PROGRA~1\AVGFRE~1\avgcc.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Bewerbungstrainer\Reminder.exe
C:\WINNT\system32\ctfmon.exe
C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\AVGFRE~1\avgemc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CBOClean\BOCORE.exe
C:\WINNT\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cidaemon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Fun\spider.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Bewerbungs Organizer] C:\Programme\Bewerbungstrainer\Reminder.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BOC-423] C:\PROGRA~1\CBOClean\BOC423.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9EBA6AB8-DB90-48F7-A0C1-EC3DAE86220D} (PTV xVectorMap Plugin 3.0) - http://xvectormap.ptv.de/xvectormap/PTVxVectorMap30.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BOCore - COMODO - C:\Programme\CBOClean\BOCORE.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINNT\System32\ImapiRox.exe (file missing)

_________________________________________________________________

1. Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 06.06.2007 17:21:59 for strings:
; 'spybot'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.disabled]
@="SpybotSD.DisabledFile"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sbe]
@="SpybotSD.SBEFile"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sbi]
@="SpybotSD.SBIFile"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sbs]
@="SpybotSD.SBSFile"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.tnfo]
@="SpybotSD.TInfoFile"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.uti]
@="SpybotSD.UTIFile"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.uts]
@="SpybotSD.UTSFile"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53707962-6F74-2D53-2644-206D7942484F}\InprocServer32]
@="C:\\PROGRA~1\\SPYBOT~1\\SDHelper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.DisabledFile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.DisabledFile\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.DisabledFile\DefaultIcon]
@="\"C:\\Programme\\Spybot - Search & Destroy\\blindman.exe\",0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.DisabledFile\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.DisabledFile\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.DisabledFile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.DisabledFile\shell\open\command]
@="\"C:\\Programme\\Spybot - Search & Destroy\\blindman.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBEFile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBEFile\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBEFile\DefaultIcon]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\",0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBEFile\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBEFile\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBEFile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBEFile\shell\open\command]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBIFile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBIFile\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBIFile\DefaultIcon]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\",0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBIFile\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBIFile\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBIFile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBIFile\shell\open\command]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBSFile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBSFile\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBSFile\DefaultIcon]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\",0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBSFile\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBSFile\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBSFile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.SBSFile\shell\open\command]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.TInfoFile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.TInfoFile\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.TInfoFile\DefaultIcon]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\",0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.TInfoFile\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.TInfoFile\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.TInfoFile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.TInfoFile\shell\open\command]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTIFile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTIFile\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTIFile\DefaultIcon]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\",0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTIFile\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTIFile\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTIFile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTIFile\shell\open\command]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTSFile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTSFile\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTSFile\DefaultIcon]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\",0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTSFile\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTSFile\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTSFile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpybotSD.UTSFile\shell\open\command]
@="\"C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spybot - Search & Destroy_is1]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spybot - Search & Destroy_is1]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spybot - Search & Destroy_is1]
"Inno Setup: App Path"="C:\\Programme\\Spybot - Search & Destroy"
"InstallLocation"="C:\\Programme\\Spybot - Search & Destroy\\"
"Inno Setup: Icon Group"="Spybot"
"DisplayName"="Spybot - Search & Destroy 1.4"
"DisplayIcon"="C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe"
"UninstallString"="\"C:\\Programme\\Spybot - Search & Destroy\\unins000.exe\""
"QuietUninstallString"="\"C:\\Programme\\Spybot - Search & Destroy\\unins000.exe\" /SILENT"

[HKEY_LOCAL_MACHINE\SOFTWARE\PepiMK Software\SpybotSnD]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Administration\Spybot]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Spybot]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spybot.com]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\free-spybot.com\www]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\legal-at-spybot.info]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\legal-at-spybot.info\www]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spybotremover.net]

[HKEY_CURRENT_USER\Software\PepiMK Software\SpybotSnD]

[HKEY_CURRENT_USER\Software\PepiMK Software\SpybotSnD]
"Path"="C:\\Programme\\Spybot - Search & Destroy\\"
"ResultsDir"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Spybot - Search & Destroy"

[HKEY_CURRENT_USER\Software\PepiMK Software\SpybotSnD\Download directories]

[HKEY_CURRENT_USER\Software\PepiMK Software\SpybotSnD\InfoPanels]

[HKEY_CURRENT_USER\Software\PepiMK Software\SpybotSnD\Verification]

[HKEY_CURRENT_USER\Software\PepiMK Software\SpybotSnD\ViewReportConfig]

[HKEY_CURRENT_USER\Software\PepiMK Software\SpybotSnD\Window]

; End Of The Log...

_________________________________________________________________

2. CleanUp eingesetzt

_________________________________________________________________


3. datefinde.bat ausgeführt

Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 245B-14E0

Verzeichnis von C:\WINNT\system32

06.06.2007 18:06 3.796 PerfStringBackup.TMP
04.06.2007 11:32 2.206 wpa.dbl
13.05.2007 22:59 4.254 jupdate-1.6.0_01-b06.log
04.05.2007 16:09 24.384 kobdev.log
04.05.2007 16:09 12.192 kobdevascii.log
27.04.2007 22:45 14.970.328 MRT.exe
18.04.2007 18:13 2.854.400 msi.dll
04.04.2007 14:41 140.440 FNTCACHE.DAT
17.03.2007 15:44 293.376 winsrv.dll
09.03.2007 12:24 123.392 xpsp3res.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
19.02.2007 17:03 474.624 shlwapi.dll
19.02.2007 17:03 617.472 urlmon.dll
19.02.2007 17:03 664.576 wininet.dll
19.02.2007 17:03 1.494.528 shdocvw.dll
19.02.2007 17:03 3.077.632 mshtml.dll
19.02.2007 17:03 251.392 iepeers.dll
19.02.2007 17:03 449.024 mshtmled.dll
19.02.2007 17:03 55.808 extmgr.dll
19.02.2007 17:03 1.056.256 danim.dll
19.02.2007 17:03 357.888 dxtmsft.dll
19.02.2007 17:03 146.432 msrating.dll
19.02.2007 17:03 205.312 dxtrans.dll
19.02.2007 17:03 39.424 pngfilt.dll
19.02.2007 17:03 532.480 mstime.dll
19.02.2007 17:03 96.768 inseng.dll
19.02.2007 17:03 16.384 jsproxy.dll
19.02.2007 17:03 1.023.488 browseui.dll
19.02.2007 17:03 152.064 cdfview.dll
17.02.2007 19:06 122.142 TZLog.log
05.02.2007 22:18 185.856 upnphost.dll


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 245B-14E0

Verzeichnis von C:\DOKUME~1\Smile1\LOKALE~1\Temp

06.06.2007 18:04 49.152 ~DFB6A4.tmp
06.06.2007 18:04 0 INMEM000.REM
06.06.2007 18:02 49.152 ~DFD19E.tmp
06.06.2007 18:01 54.272 ginstall.dll
06.06.2007 17:30 49.152 ~DF8914.tmp
06.06.2007 14:21 608 r2h39.tmp
06.06.2007 14:21 0 h2r3A.tmp
06.06.2007 14:20 608 r2h36.tmp
06.06.2007 14:20 0 h2r37.tmp
06.06.2007 10:16 3.269 java_install_reg.log
06.06.2007 10:16 2.689 jusched.log
05.06.2007 22:56 49.152 ~DF7418.tmp
05.06.2007 21:39 920 TWAIN.LOG
05.06.2007 21:39 156 Twunk001.MTX
05.06.2007 21:39 2 Twain001.Mtx
05.06.2007 21:39 0 Twunk002.MTX
05.06.2007 16:32 49.152 ~DF835B.tmp
05.06.2007 14:34 49.152 ~DF8CCE.tmp
05.06.2007 14:33 5.120 ~WRS0001.tmp
05.06.2007 14:33 16.384 ~WRF0000.tmp
05.06.2007 14:32 344.064 ~DF13A9.tmp
05.06.2007 11:27 49.152 ~DF9BBF.tmp
05.06.2007 11:27 49.152 ~DFFA5F.tmp
05.06.2007 11:03 49.152 ~DFBC1D.tmp
05.06.2007 10:12 49.152 ~DFA641.tmp
20.04.2007 09:28 343.280 boc423.exe
20.04.2007 09:28 135.408 boc4upd.exe
19.04.2007 09:35 240.368 bosetup.exe
18.04.2007 13:21 88.816 BOCLEAN.DLL
18.04.2007 13:21 125.680 bocexc.exe
17.04.2007 16:21 76.528 BOCORE.EXE
17.04.2007 16:21 84.208 BOCORE64.EXE
17.04.2007 16:19 11.504 bocdrive64.sys
17.04.2007 16:14 15.376 BOCDRIVE.SYS
16.04.2007 15:30 67 SUPPORT.URL
23.03.2007 22:33 229.376 CmdLic.dll
06.01.2007 00:02 134.656 fea373.mst
06.01.2007 00:02 57.856 fea372.mst


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 245B-14E0

Verzeichnis von C:\WINNT

06.06.2007 18:05 819 win.ini
06.06.2007 18:05 0 0.log
06.06.2007 18:05 159 wiadebug.log
06.06.2007 18:04 24.766 BOC423.INI
06.06.2007 18:04 2.048 bootstat.dat
06.06.2007 18:02 32.412 SchedLgU.Txt
06.06.2007 18:02 50 wiaservc.log
06.06.2007 18:02 1.809.699 WindowsUpdate.log
06.06.2007 09:59 3.213 setupact.log
06.06.2007 06:01 54.156 QTFont.qfn
06.06.2007 05:56 346 avmcowlan.log
06.06.2007 05:50 202.744 setupapi.log
05.06.2007 11:08 2.477 avmadd321.log
05.06.2007 11:08 2.381 avmadd32.log
05.06.2007 11:08 107 avmsysnet.log
05.06.2007 09:30 340.956 ntbtlog.txt
04.06.2007 23:17 132 winamp.ini
04.06.2007 12:46 116 NeroDigital.ini
03.06.2007 18:27 748 cdplayer.ini
03.06.2007 13:37 151 PhotoSnapViewer.INI
29.05.2007 19:54 4.941 wmsetup.log
23.05.2007 23:59 1.384.703 FaxSetup.log
23.05.2007 23:59 1.530.832 iis6.log
23.05.2007 23:59 232.359 ntdtcsetup.log
23.05.2007 23:59 52.832 medctroc.Log
23.05.2007 23:59 1.374 imsins.log
23.05.2007 23:59 195.602 netfxocm.log
23.05.2007 23:59 517.960 tsoc.log
23.05.2007 23:59 55.240 ocmsn.log
23.05.2007 23:59 56.479 tabletoc.log
23.05.2007 23:59 104.920 ocgen.log
23.05.2007 23:59 7.454 KB927891.log
23.05.2007 23:59 55.545 msgsocm.log
23.05.2007 23:59 72.067 comsetup.log
23.05.2007 23:59 352.924 msmqinst.log
23.05.2007 23:59 59.912 updspapi.log
23.05.2007 09:24 536.489.984 MEMORY.DMP
10.05.2007 18:30 13.473 KB931768.log
10.05.2007 18:30 1.374 imsins.BAK
10.05.2007 18:28 10.425 KB930916.log
04.05.2007 16:10 237 hbcikrnl.ini
19.04.2007 09:35 240.368 UNBOC.EXE
18.04.2007 10:54 32 HCWBTDLG.INI
18.04.2007 10:54 479 HCWPNP.INI
13.04.2007 21:49 698 EventSystem.log
12.04.2007 01:19 14.029 KB931784.log
12.04.2007 01:18 12.125 KB931261.log
12.04.2007 01:18 12.438 KB930178.log
12.04.2007 01:18 12.293 KB932168.log
04.04.2007 13:11 12.264 KB925902.log
03.04.2007 17:20 737.280 iun6002.exe
03.04.2007 16:07 335 nsreg.dat
03.04.2007 16:06 8.038 mozver.dat
03.04.2007 16:06 118.784 GREUninstall.exe
23.03.2007 22:33 229.376 CMDLIC.DLL
19.03.2007 23:43 862 avmcowlan1.log
16.03.2007 01:55 11.936 KB929338.log
22.02.2007 13:50 75.998 _detmp.1
18.02.2007 18:24 19.076 KB918118.log
18.02.2007 18:23 23.027 KB928090.log
17.02.2007 19:07 15.745 KB927779.log
17.02.2007 19:07 12.725 KB927802.log
17.02.2007 19:07 15.225 KB928255.log
17.02.2007 19:06 9.495 KB924667.log
17.02.2007 19:06 21.983 KB931836.log
17.02.2007 19:04 11.477 KB926436.log
17.02.2007 19:04 14.155 KB928843.log


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 245B-14E0

Verzeichnis von C:\WINNT\Temp

05.06.2007 10:00 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 1.683.415.040 Bytes frei


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 245B-14E0

Verzeichnis von C:\WINNT\Downloaded Program Files

24.01.2007 01:00 188.160 tcdefs.dat
24.01.2007 01:00 32 virscant.dat
24.01.2007 01:00 570.042 virscan2.dat
24.01.2007 01:00 147.656 virscan3.dat
24.01.2007 01:00 320.186 virscan4.dat
24.01.2007 01:00 3.276.352 virscan5.dat
24.01.2007 01:00 390.197 virscan6.dat
24.01.2007 01:00 6.093.618 virscan7.dat
24.01.2007 01:00 1.670.605 virscan8.dat
24.01.2007 01:00 4.065.213 virscan9.dat
24.01.2007 01:00 224 zdone.dat
24.01.2007 01:00 106.244 virscan.inf
24.01.2007 01:00 97.712 scrauth.dat
24.01.2007 01:00 453 tinf.dat
24.01.2007 01:00 148 tinfidx.dat
24.01.2007 01:00 1.957 tinfl.dat
24.01.2007 01:00 64.232 tscan1.dat
24.01.2007 01:00 3.072 tscan1hd.dat
24.01.2007 01:00 1.061 symaveng.inf
24.01.2007 01:00 9.237 symaveng.cat
24.01.2007 01:00 124.536 naveng32.dll
24.01.2007 01:00 1.240.575 tcscan7.dat
24.01.2007 01:00 331.270 tcscan8.dat
24.01.2007 01:00 743.430 tcscan9.dat
24.01.2007 01:00 4.778 v.grd
24.01.2007 01:00 2.261 v.sig
24.01.2007 01:00 976.428 virscan1.dat
24.01.2007 01:00 6.899 ecbootil.vxd
24.01.2007 01:00 272.040 ecmsvr32.dll
24.01.2007 01:00 2.504 catalog.dat
24.01.2007 01:00 902.776 navex32a.dll


Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 245B-14E0

Verzeichnis von C:\

06.06.2007 18:08 0 sys.txt
06.06.2007 18:08 2.945 down.txt
06.06.2007 18:08 275 tmp.txt
06.06.2007 18:08 18.219 system.txt
06.06.2007 18:08 2.344 systemtemp.txt
06.06.2007 18:08 119.941 system32.txt
06.06.2007 18:06 289 datFind.zip
06.06.2007 18:04 536.465.408 hiberfil.sys
06.06.2007 18:04 804.257.792 pagefile.sys
06.06.2007 18:02 13.030 PDOXUSRS.NET
04.06.2007 12:47 50.688 Thumbs.db
26.02.2007 19:28 12.409.233 AVG7QT.DAT
10.10.2004 22:31 207 boot.ini
10.10.2004 22:17 251.184 ntldr
10.10.2004 22:17 47.564 NTDETECT.COM
26.05.2004 23:23 44 theend.ini
25.11.2002 10:17 4.952 bootfont.bin
05.09.2002 20:01 345 IPH.PH
29.03.2002 13:34 0 AUTOEXEC.BAT
29.03.2002 13:34 0 IO.SYS
29.03.2002 13:34 0 MSDOS.SYS
29.03.2002 13:34 0 CONFIG.SYS
22 Datei(en) 1.353.644.460 Bytes
0 Verzeichnis(se), 1.683.398.656 Bytes frei

_________________________________________________________________

4. Echo.dat augeführt

10)DPF????


Beim nächsten Schritt bräuchte ich halt Hilfe. Wär nett, wenn mir jemand sagt, was in dem File für die Killbox stehen soll. Bei mir ist es ja in dem Sinne anders, dass ich das Prog selber nicht im Programmordner habe, aber halt in der Registry,


Danke!
Jinglebells

PS. Insofern bei mir vielleicht noch was anderes auf dem Rechner kreucht und fleucht, würde ich das natürlich auch gern runterhaben. Bin also auch für jeden weiteren Tipp dankbar!
Dieser Beitrag wurde am 06.06.2007 um 18:42 Uhr von Jinglebells editiert.
Seitenanfang Seitenende
06.06.2007, 19:00
raman
Moderator

Beiträge: 7805
#2 Wie kommst du darauf, das dich diese Malware befallen haben sollte?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.06.2007, 19:12
Jinglebells
...neu hier

Themenstarter

Beiträge: 3
#3 Sorry, bin eine doofe Nuss. Hab bei Registry Search glatt nach dem falschen Keywort gesucht. Das ist das richtige Logfile dazu:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 06.06.2007 19:08:16 for strings:
; 'spybro'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser]

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\RemoteConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\SpyBrowser\Signatures]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Antispy]
"ImagePath"="\\??\\C:\\Programme\\SpyBro\\Antispy.sys"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\htm]
"a"="C:\\Dokumente und Einstellungen\\Smile1\\Desktop\\[SpyBrowser] CProgrammeSpyBro + pushow56_dll - Sicherheits Forum.htm"

[HKEY_CURRENT_USER\Software\SpyBrowser]

[HKEY_CURRENT_USER\Software\SpyBrowser\General]

[HKEY_CURRENT_USER\Software\SpyBrowser\GuardOptions]

[HKEY_CURRENT_USER\Software\SpyBrowser\GuardOptions\EnabledMonitors]

[HKEY_CURRENT_USER\Software\SpyBrowser\Monitors]

[HKEY_CURRENT_USER\Software\SpyBrowser\RemoteConfig]

[HKEY_CURRENT_USER\Software\SpyBrowser\ScanOptions]

[HKEY_CURRENT_USER\Software\SpyBrowser\ScanOptions\CustomScan]

[HKEY_CURRENT_USER\Software\SpyBrowser\ScanOptions\SelectedFolders]

[HKEY_CURRENT_USER\Software\SpyBrowser\ScanOptions\StartupCustomScan]

[HKEY_CURRENT_USER\Software\SpyBrowser\Scheduler]

[HKEY_CURRENT_USER\Software\SpyBrowser\Scheduler\CustomScan]

[HKEY_CURRENT_USER\Software\SpyBrowser\Scheduler\Event 0]

[HKEY_CURRENT_USER\Software\SpyBrowser\Startup]

[HKEY_CURRENT_USER\Software\SpyBrowser\Statistics]

; End Of The Log...


Verstehst du jetzt, warum ich es denke? :-(

Achja, ich sollte wohl noch erwähnen, dass ich den letzten Tagen Probleme mit meinem Rechner hatte. Insbesondere war er immer wieder extrem ausgelastet und da gabs noch so ein paar Kleinigkeiten, die mich veranlaßt hatten, zwei Virenscaner, Adaware und Spybot drüber zu schicken, die aber halt nichts gefunden haben. Habs letztlich wirklich nur durch Zufall gefunden, weil ich mit dem Regcleaner noch säubern wollte und halt ein wenig gegooglt habe.
Dieser Beitrag wurde am 06.06.2007 um 19:16 Uhr von Jinglebells editiert.
Seitenanfang Seitenende
06.06.2007, 19:26
raman
Moderator

Beiträge: 7805
#4 Besitzt du denn diesen Ordner? C:\Programme\SpyBro\
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.06.2007, 19:38
Jinglebells
...neu hier

Themenstarter

Beiträge: 3
#5 Nein, besitze ich eben nicht. Ist nur in der Registry vorhanden. Säubere zwar in regelmäßigen Abständen meinen Rechner und werf Programme runter, die ich nicht verwende. Nur das komische ist, ich kann mich an so ein Programm oder aber einen derartigen Ordner nicht erinnern und weiß, dass ich beim letzten Mal auch nicht das Programm im RegCleaner hatte, den ich immer in nach einer Säuberungsaktion nochmal verwende. Paßt hinten und vorne gar nicht. Möchte das nur noch von meinem Rechner runter haben. Besonders ärgerlich ist, dass ich seit neustem nichts mehr brennen kann. Ich vertoaste einen Rohling nach dem anderen, weil das System nicht genug Leistung dafür aufbringen kann. Und das war bis vor nicht einmal einer Woche noch möglich!
Seitenanfang Seitenende
06.06.2007, 21:11
raman
Moderator

Beiträge: 7805
#6 Das sind nur Reste, der vieleicht teil einer Imunisierung. Du kannst diese Eintraege ja einfach loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.06.2007, 23:11
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Verzeichnis von C:\DOKUME~1\Smile1\LOKALE~1\Temp

06.06.2007 18:01 54.272 ginstall.dll
Teste mal bei virustotal
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1